Un módulo de plataforma de confianza virtual (virtual Trusted Platform Module, vTPM) es una representación basada en software de un chip de módulo de plataforma de confianza 2.0 físico. Un vTPM actúa como cualquier otro dispositivo virtual.

Los vTPM proporcionan funciones basadas en hardware relacionadas con la seguridad, como la generación aleatoria de números, la atestación y la generación de claves, entre otras. Cuando se agrega un vTPM a una máquina virtual, permite que el sistema operativo invitado cree y almacene claves que son privadas. Estas claves no están expuestas al sistema operativo invitado en sí. Por lo tanto, se reduce la superficie de ataque de la máquina virtual. Por lo general, al poner en peligro el sistema operativo invitado, se compromete su información confidencial, pero la habilitación de un vTPM reduce este riesgo en gran medida. Estas claves solo las puede utilizar el sistema operativo invitado para fines de cifrado o firma. Con un vTPM asociado, un cliente puede atestar de forma remota la identidad de la máquina virtual y comprobar el software que está en ejecución.

El vTPM no requiere un chip físico de TPM 2.0 presente en el host ESXi. No obstante, si desea realizar la atestación de host, es necesaria una entidad externa, como un chip físico de TPM 2.0. Para obtener más información, consulte la documentación de Seguridad de vSphere.

Nota: De manera predeterminada, no hay ninguna directiva de almacenamiento asociada a una máquina virtual habilitada con un vTPM. Solo están cifrados los archivos de máquina virtual (Inicio de la máquina virtual). Si lo prefiere, puede agregar cifrado de forma explícita para la máquina virtual y sus discos, pero los archivos de máquina virtual ya se habrán cifrado.

Cómo configurar un vTPM para una máquina virtual

Desde la perspectiva de la máquina virtual, un vTPM es un dispositivo virtual. Se puede agregar un vTPM a una máquina virtual nueva o existente. Un vTPM depende del cifrado de la máquina virtual para proteger los datos esenciales de TPM; por lo que requiere que configure un proveedor de claves. Al configurar un vTPM, se cifran los archivos de la máquina virtual, pero no los discos. Puede optar por agregar cifrado de forma explícita para la máquina virtual y sus discos.

Cuando se hace una copia de seguridad de una máquina virtual habilitada con un vTPM, la copia de seguridad debe incluir todos los datos de la máquina virtual, incluido el archivo *.nvram. Si la copia de seguridad no incluye el archivo *.nvram, no se puede restaurar una máquina virtual con un vTPM. Asimismo, debido a que los archivos de inicio de una máquina virtual con un vTPM habilitado están cifrados, asegúrese de que las claves de cifrado estén disponibles en el momento de la restauración.

A partir de vSphere 8.0, al clonar una máquina virtual con un vTPM, la selección de la opción Reemplazar para una máquina virtual con un vTPM comienza con un vTPM nuevo y vacío, el cual obtiene sus propios secretos e identidades. Cuando se reemplazan los secretos de un vTPM, se reemplazan todas las claves, incluidas las claves relacionadas con las cargas de trabajo. Como práctica recomendada, asegúrese de que las cargas de trabajo ya no utilicen un vTPM antes de reemplazar las claves. De lo contrario, es posible que las cargas de trabajo de la máquina virtual clonada no funcionen correctamente.

Requisitos de vSphere para vTPM

Para utilizar un vTPM, el entorno de vSphere debe cumplir con estos requisitos:

  • Requisitos de la máquina virtual:
    • Firmware EFI.
    • Versión de hardware 14 y posterior
  • Requisitos de los componentes:
    • vCenter Server 6.7 y versiones posteriores para máquinas virtuales Windows, vCenter Server 7.0 Update 2 y versiones posteriores para máquinas virtuales Linux.
    • Cifrado de máquinas virtuales (para cifrar los archivos de inicio de la máquina virtual).
    • Proveedor de claves configurado para vCenter Server. Para obtener más información, consulte la documentación de Seguridad de vSphere.
  • Compatibilidad con el sistema operativo invitado:
    • Linux
    • Windows Server 2008 y versiones posteriores
    • Windows 7 y versiones posteriores

Diferencias entre un TPM de hardware y un TPM virtual

Un módulo de plataforma de confianza (Trusted Platform Module, TPM) de hardware se usa para proporcionar un almacenamiento de credenciales o claves seguro. Un vTPM realiza las mismas funciones que un TPM, pero lleva a cabo las capacidades de coprocesador cifrado en un software. El vTPM utiliza el archivo .nvram, que se cifra mediante el cifrado de máquinas virtuales, a modo de almacenamiento seguro.

El TPM de hardware incluye una clave precargada denominada “clave de aprobación” (Endorsement Key, EK). La EK está formada por una clave pública y una privada. La EK proporciona al TPM una identidad exclusiva. Esta clave se proporciona para un vTPM mediante VMware Certificate Authority (VMCA) o una entidad de certificación (Certificate Authority, CA) de terceros. Una vez que el vTPM utiliza una clave, por lo general, no se la cambia debido a que se invalidaría la información confidencial almacenada en el vTPM. El vTPM no se comunica con la CA externa en ningún momento.